Home / 경제종합 / 산업 / 고도의 해킹인가, 관리 부실 사고인가…쿠팡 사태 의문점

고도의 해킹인가, 관리 부실 사고인가…쿠팡 사태 의문점

고도 해킹? 중국 직원 소행에 무게…원인파악 속도 못내
861억원 막대한 정보보호 투자 쏟아붓고도 5개월간 파악 못해


서울 도심의 쿠팡 물류센터에서 한 직원이 배송을 준비하고 있다. 임세준 기자


[헤럴드경제=박세정 기자] 고객 3370만명 개인정보가 유출된 ‘역대급’ 쿠팡 사태의 원인 파악이 속도를 내지 못하면서 의문이 증폭되고 있다. 성인 4명 중 3명의 개인정보가 털린 ‘역대 최대 규모’ 사고다.

지난 6월부터 고객 정보가 줄줄 새고 있었지만, 쿠팡이 정보보호에 861억원을 쏟아붓고도 5개월간 이를 잡아내지 못한 점도 의문투성이라는 지적이다. ‘고도의 해킹 수법’인지, 관리 부실로 인한 ‘인재’ 사고인지를 놓고 명확한 원인이 드러날 때까지 혼란이 계속될 것으로 보인다.

▶고도의 해킹? 내부 중국 직원 소행 무게= 1일 쿠팡과 관계부처가 발표한 현황에 따르면, 쿠팡의 개인정보 유출 규모는 3370만 명이다. 그동안 발생한 개인정보유출 사고 중 역대 최대에 해당하는 규모다.

쿠팡은 이번 정보 유출 사태는 해외 서버를 통해 올해 6월 24일부터 무단으로 개인정보에 접근하면서 발생한 것으로 추정하고 있다. 사태를 조사 중인 배경훈 과학기술정보통신부 장관 겸 부총리는 “공격자가 쿠팡 서버의 인증 취약점을 악용해 정상적 로그인 없이 3000만개 이상의 고객 계정의 고객명, 이메일, 발송지 전화번호 및 주소를 유출한 것으로 확인했다”고 설명했다.

문제는 개인정보 ‘접근’이 외부 해킹에 의한 것인지, 내부 직원의 소행인지 원인이 아직 미궁이라는 점이다. 정부 역시 서버 해킹을 통한 정보 유출인지 다른 공격 방식을 통한 범행인지 단정하게 이르다는 입장이다. 현재까지 쿠팡 서버에서 발견된 악성코드는 없다는 것이 정부 측 발표다.

최우혁 과기정통부 네트워크정책실장은 “공격 방식이 다양하기 때문에 유출이다 해킹이다 단정적으로 말하긴 어렵다”며 “과거 특정 사례에서 내부자가 정보를 들고 나가는 케이스도 있었고 (인증) 계정을 가지고 하는 경우도 있었다”고 설명했다.

업계에선 해킹이 아닌 내부 직원의 소행이라는 점에 무게를 싣는 관측도 나온다. 쿠팡에 근무했던 중국 국적자의 소행이 유력하게 의심되고 있다. 이 직원은 외국 국적자인 데다 이미 쿠팡에서 퇴사해 한국을 떠난 것으로 전해진다.

실제 쿠팡 측이 경찰에 제출한 고소장에 피고소인이 특정되지는 않고 ‘성명불상자’로 기재됐다. 쿠팡은 앞서 이번 정보 유출 사고가 해킹 등 외부 요인에 따른 것이 아니라는 점을 시사하기도 했다. 쿠팡은 지난달 20일 입장문에서 “쿠팡 시스템과 내부 네트워크망의 외부 침입 흔적은 없는 것으로 확인했다”고 밝힌 바 있다.

서울 도심 내 쿠팡 물류센터에 배송차량이 주차되어 있다. 임세준 기자


▶6월부터 개인정보 접근…정보보호 861억원 쏟아붓고도 왜 몰랐나?= 쿠팡이 861억원에 달하는 정보보호 투자를 쏟아붓고도 약 5개월 동안 개인정보 유출 정황을 파악하지 못한 점도 도마 위에 올랐다.

쿠팡은 6월 24일부터 개인정보 무단 접근이 있었던 것으로 파악했지만, 사태가 불거지지 전까지 이를 잡아내지 못했다.

이는 수백억원의 정보보호 투자금액을 무색하게 하는 대응이라는 점에서 심각한 문제로 지적된다. 쿠팡은 지난해 정보보호 부문에 861억원을 투자했다. 전년(660억원)보다도 30.4%나 투자 비용을 늘리면서 정보보호 투자 규모가 가장 큰 기업 중 하나다.

정보기술 인력만 해도 3121명에 달한다. 정보보호를 담당하는 임원도 분리·배치했다. 최고정보보호책임자(CISO)와 최고개인정보보호책임자(CPO)를 겸직하지 않고 따로 두고 있다.

쿠팡은 정보보호 관련 인증·평가도 여러 차례 획득하며 정보보호 투자 우수 기업으로 꼽혀왔지만, 이번 대규모 사태에서 허점을 드러냈다.

해외 IP 접속기록조차 잡아내지 못했다면 기초적인 보안 자체가 되지 않고 있다는 점에서 심각한 관리 문제로 대두될 가능성이 크다.

초기 제대로 된 사태 파악조차 되지 않을 정도로 미흡한 대응 역시 논란이다. 당초 지난달 18일 최초 인지 당시 약 4500명의 유출 피해를 신고했지만 추가 조사에서 인원이 3370만명까지 확대됐다. 불과 9일 만에 피해 규모가 눈덩이만큼 불었지만 초기 유출 규모조차 제대로 파악하지 못한 셈이다.

결제 정보 등 추가 피해가 확인될 가능성을 배제할 수 없다는 위기감이 고조된 것도 같은 이유다.

서울 송파구 쿠팡 본사 인근 신호등에 빨간불이 켜져 있다. 임세준 기자


▶배후도 있나?…정부도 총력 대응= 더 나아가 이번 유출이 개인이 아닌 집단적인 조직범죄 가능성도 남아있다.

경찰은 단독범 소행이 아니라 조직적인 범죄 가능성을 배제하지 않고 있다. 경찰은 중국 국적의 전 직원이 유출 사건 관련자라면, 그 배후에 조직이나 특정 인물이 범행을 공모했을 수 있을 것으로 보고 있다.

합동조사단을 구성한 정부 역시 모든 가능성을 열어놓고 총력 대응에 나서고 있다. 정부는 국가 배후 해킹 공격 등 다양한 가능성을 모두 열어놓고 접근 중이라고 밝혔다. 합동조사단은 사고 경위와 유출 범위를 점검 중이다.

이외에도 개인정보보호위원회는 안전조치 의무 위반 여부를 중심으로 법적 검토에 들어갔다. 그간 정보유출 사태 사고를 감안할 때 조사 결과에 따라 보상조치, 과징금, 경영진 사과 등의 후속 조치가 이어질 것으로 보인다.

Print Friendly